为了推动等级标准的实际执行与实施,对计算机信息系统安全等级保护评估工具进行实际使用与测试,验证安全等级保护评估方法与思路,公安部启动了计算机系统安全保护等级评估试点。选择了四个省和两个部委的6个单位和行业进行试点。武汉市规划国土资源管理局(以下简称武汉市规划国土局)被确定为湖北省的试点单位。武汉市土地管理信息中心与公安部计算机信息系统安全产品质量监督检验中心一起对武汉市规划国土局内部网进行了全面的安全评估。依据《计算机信息系统安全等级保护评估准则》及相关等级标准,就评估结果对内部网的安全状况进行了分析和总结。
工作思路与评估方法
《计算机信息系统安全保护等级划分准则》将我国的计算机信息系统安全确定为5个等级,由低到高依次是“用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级”,对每一等级的计算机信息系统在物理安全、运行安全、信息安全等安全功能要素和安全保证等方面提出了具体技术要求。信息系统安全等级保护就是采用“调查?测试?评估?分析?改进”的工作步骤,对信息系统依照安全保护等级进行评估,确定信息系统的重点保护对象和保护等级,找出安全隐患,提出改进方案,提升系统安全保护措施,保障系统安全。
因为信息系统用户主要通过应用服务的方式访问被保护的重点对象,所以在评估过程中,以应用服务的访问途径为切入点,选取相应的路径进行安全要素的评测与分析。信息系统安全等级评估的技术部分主要包括以下两个方面:
安全要素评估
需要评估的安全要素包括:身份鉴别、自主访问控制、客体重用、完整性、审计。通过如下几种方式评估安全要素的实现状况:
对应用服务的工作流程、流程中所传输的数据内容、所经过的传输环节(客户终端、路由器、交换机、中心服务器节点)对数据采取的保护措施、应用服务支撑平台(如SQL Server 2000等)的安全状况、应用服务流程中各组件自身的安全状况进行调查。
根据验证方案,现场操作人员协助评估工程师完成一次全过程的应用服务。评估工程师根据此过程中所采取或所能采取的安全保护措施,确定安全要素在访问路径上的实现状况实施现场验证。
根据评估的结果,总结系统安全要素的实现状况,确定信息系统所达到的安全等级,提出可行的安全建议,并撰写完善的安全评估报告。
安全保证要求评估 安全保证要求评估主要以与协助人员交流,查阅并分析系统开发过程中相关的文档资料为主。考察的内容包括信息系统安全功能自身安全保护、密码支持、生命周期支持、配置管理、开发、测试、指导性文档、脆弱性分析、交付与运行等。
武汉市规划国土局信息系统网络拓扑结构一共划分为四个VLAN区域。其中VLAN14区域为武汉市规划国土资源管理局的各个分局和局属院所,VLAN10、VLAN11、VLAN12属于市局内网部分。
根据对信息系统的调查分析,确定将NAS服务和办公自动化应用服务作为评估的切入点,将信息系统划分为四个实体层面进行评价,即物理层面、计算机网络层面、系统层面、应用层面。物理安全体现为环境安全、设备安全、媒体安全。计算机网络层面主要包括交换机(cisco3500、cisco9300、cisco2950)和路由器。系统层面主要指服务器上的操作系统(Windows 2000 Server)与数据库系统(SQL2000 Server)。应用层面指实现应用服务的应用软件,包括NAS应用软件、办公自动化应用软件。
评估结果统计分析与评价
依据相关标准《GB17859-1999计算机信息系统安全保护等级划分准则》和《GA/T391-2002计算机信息系统安全等级保护管理要求》,按照管理要求第一级和第二级的评估标准的80项管理要求,武汉市规划国土局信息系统的安全管理评估结果中,满足要求的共计30项,部分满足要求的共计30项,没有满足要求的共计20项,对没有满足的管理要求,按照不适用、技术、预算、时间、文化、环境、其它等7个方面的原因进行了分析归类,其中不适用指评估原则不适用本系统;技术指由于安全管理技术不全面而没有考虑到的原因;预算指出于经费考虑没有实施的原因;时间指项目已列入计划,实施只是时间问题。
根据计算机信息系统安全等级保护管理的第一和第二级要求,武汉市规划国土局较好地实施了对其信息系统的基本管理,也基本实现了操作规程管理(分别对应于安全保护等级中的用户自主保护级和系统审计保护级)。评价具体如下:
管理目标和范围方面 有统一的安全管理机构以及较完整的安全管理计划,但计划还不全面,如安全管理计划并没有涉及风险管理的内容。安全目标和安全范围具体,有详细的安全管理文档描述和说明,对信息系统的网络、物理设备以及自主开发应用系统实施了生命周期的全程管理,制定了设备购买及其安全操作方面的操作规程,但安全操作规程尚不完善。
人员与职责要求方面 安全管理机构符合要求,任命了安全管理员,并赋予其相应的安全管理权限。安全管理员都有一定的专业技术水平,安全负责人在安全工作方面具有相应的经验和技能,并且都基本履行了相应的职责,但在风险分析和安全性评估方面的工作有所欠缺。
| 共2页: 1 [2] 下一页 | ||
|
|
· 教你使用Anti ARP Snif.. · 网络嗅探教程:使用Sni.. · 时代亿信企业级信息安.. · ISA Server、虚拟机、.. · Windows年底再现图片漏.. · MBSA本地审核策略建议 |
· 企业局域网安全访问控.. · 常见病毒手工清除方法.. · 网络技术经典基础教程 · 天融信--信息安全等.. · 用中观思想方法追求等.. · 国家信息安全等级保护.. |
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · Java基础教程 · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · SOA 面向服务架构 · SQL Server 2005全解 · Java编程开发手册 · RAID——磁盘阵列基础 |
· 三层交换技术专题 · SQL Server入门到精通 · Windows Server 2003企.. · Windows远程桌面应用 · C#技术开发指南 · VPN技术 · Solaris 10 配置管理 · C#技术开发指南 |
||
|
|||
| · ARP攻击防范与解决方案 · VPN技术 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · RAID——磁盘阵列基础 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| 张振伦 的博客 |
|
| ·拯救系统管理员 ·美国选民:我为什么选布什 |
·VMware公司中文命名挑战赛 ·我们真缺乏创新吗? |
| 梁林 的博客 |
|
| ·J0ker的CISSP之路:复习-.. ·J0ker的CISSP之路:复习-I.. |
·9月第3周安全回顾 内网安.. ·教你几招识别和防御Web网.. |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 教你使用Anti ARP Sniff.. · 网络嗅探教程:使用Snif.. · 常见病毒手工清除方法大.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门 |
· 费力不讨好 数据中心主.. · AMD Phenom三核处理器解.. · 51CTO主编推荐经典专题 |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
